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Avant-propos 

L'ISO (Organisation internationale de normalisation) est une federation mondiale d'organismes nationaux de 
normalisation (comites membres de I'ISO). L'elaboration des Normes internationales est en general confiee 
aux comites techniques de I'ISO. Chaque comite membre interesse par une etude a le droit de faire partie du 
comite technique cree a cet effet. Les organisations internationales, gouvernementales et non 
gouvernementales, en liaison avec I'ISO participent egalement aux travaux. L'ISO collabore etroitement avec 
la Commission electrotechnique internationale (CEI) en ce qui concerne la normalisation electrotechnique. 

Les Normes internationales sont redigees conformement aux regies donnees dans les Directives ISO/CEI, 
Partie 2. 

La tache principale des comites techniques est d'elaborer les Normes internationales. Les projets de Normes 
internationales adoptes par les comites techniques sont soumis aux comites membres pour vote. Leur 
publication comme Normes internationales requiert I'approbation de 75 % au moins des comites membres 
votants. 

L'attention est appelee sur le fait que certains des elements du present document peuvent faire I'objet de 
droits de propriete intellectuelle ou de droits analogues. L'ISO ne saurait etre tenue pour responsable de ne 
pas avoir identifie de tels droits de propriete et averti de leur existence. 

L'ISO 31000 a ete elaboree par le groupe de travail du Bureau de gestion technique ISO sur le Management 
du risque. 
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Introduction 

Les organismes de tous types et de toutes dimensions confrontes a des facteurs et des influences internes et 
externes ignorent si et quand ils vont atteindre leurs objectifs. L'incidence de cette incertitude sur I'atteinte des 
objectifs d'un organisme constitue le «risque». 

Toutes les activites d'un organisme comprennent des risques. Les organismes gerent le risque en I'identifiant, 
en I'analysant, et en evaluant ensuite la necessity de le modifier par un traitement afin de satisfaire aux 
criteres de risque. Tout au long de ce processus, ils communiquent et se concertent avec les parties 
prenantes, et surveillent et revoient le risque et les moyens de maTtrise qui modifient le risque afin de 
s'assurer qu'il n'est pas necessaire de recourir a un traitement supplementaire du risque. La presente Norme 
internationale decrit ce processus systematique et logique en detail. 

Alors que tous les organismes gerent des risques a differents niveaux, la presente Norme internationale fixe 
un certain nombre de principes qui doivent etre appliques pour rendre le management du risque efficace. La 
presente Norme internationale recommande que les organismes elaborent, mettent en oeuvre et ameliorent 
continuellement un cadre organisationnel dont le but est d'integrer le processus de management du risque 
aux processus de gouvernance, de strategie et de planification, de management, de redaction des rapports, 
ainsi qu'aux politiques, aux valeurs et a la culture d'ensemble de I'organisme. 

Le management du risque peut s'appliquer a I'ensemble de I'organisme, dans tous ses domaines et a tous 
ses niveaux, a tout moment, ainsi qu'a des fonctions, des projets et des activites particulieres. 

Meme si la pratique du management du risque s'est developpee au fil du temps et dans de nombreux 
secteurs pour repondre a differents besoins, I'adoption de processus coherents dans un cadre organisationnel 
complet peut contribuer a garantir que le risque est gere de fagon efficace, performante et coherente au sein 
d'un organisme. L'approche generique decrite dans la presente Norme internationale fournit des principes et 
des lignes directrices pour gerer toute forme de risque de maniere systematique, transparente et fiable, dans 
quelque domaine et quelque contexte que ce soit. 

Chaque secteur ou application particular du management du risque comporte des besoins, des publics, des 
perceptions et des criteres qui lui sont propres. C'est pourquoi, I'un des points essentiels de la presente 
Norme internationale est d'integrer d'etablissement du contexte» en tant qu'activite de depart du processus 
generique de management du risque. Etablir le contexte va permettre d'apprehender les objectifs de 
I'organisme, I'environnement dans lequel il poursuit ces objectifs, les parties prenantes et la diversity des 
criteres de risques, tous ces elements devant contribuer a reveler et apprecier la nature et la complexite de 
ses risques. 

La Figure 1 illustre les relations entre les principes de management du risque, le cadre organisationnel dans 
lequel il se presente et le processus de management du risque decrits dans la presente Norme internationale. 

La mise en oeuvre et le maintien du management du risque conformement a la presente Norme internationale 
permettent, par exemple, a un organisme 

— d'accroTtre la vraisemblance d'atteindre les objectifs, 

— d'encourager un management proactif, 

— de prendre conscience de la necessity d'identifier et de traiter le risque a travers tout I'organisme, 

— d'ameliorer I'identification des opportunity et des menaces, 

— de se conformer aux obligations legales et reglementaires ainsi qu'aux normes internationales, 
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— d'ameliorer la redaction des rapports financiers, 

— d'ameliorer la gouvernance, 

— d'accroitre I'assurance et la confiance des parties prenantes, 

— d'etablir une base fiable pour la prise de decision et la planification, 

— d'ameliorer les moyens de maTtrise, 

— d'allouer et d'utiliser efficacement les ressources pour le traitement du risque, 

— d'ameliorer I'efficacite et I'efficience operationnelles, 

— de renforcer les performances en matiere de sante et de securite, ainsi que de protection 
environnementale, 

— d'ameliorer la prevention des pertes et le management des incidents, 

— de minimiser les pertes, 

— d'ameliorer I'apprentissage organisationnel, et 

— d'ameliorer la resilience organisationnelle. 

La presente Norme internationale est destinee a repondre aux besoins d'une grande diversity de parties 
prenantes, dont 

a) les personnes responsables de I'elaboration d'une politique de management du risque au sein de leur 
organisme, 

b) les personnes chargees de s'assurer que ce risque est gere efficacement au sein de I'organisme dans 
son ensemble ou dans un domaine, une activite ou un projet specifique, 

c) les personnes chargees d'evaluer I'efficacite d'un organisme en matiere de management du risque, et 

d) les redacteurs de normes, guides, procedures et bonnes pratiques qui, en totalite ou en partie, 
determinent la maniere dont le risque doit etre gere dans le contexte specifique de ces documents. 

Les pratiques et processus de management en cours dans nombre d'organismes comportent des elements 
de management du risque, et beaucoup d'organismes ont deja adopte un processus formalise de 
management du risque pour des types particuliers de risques ou de situations. Dans de tels cas, un 
organisme peut decider de realiser une revue critique de ses pratiques et processus existants a la lumiere de 
la presente Norme internationale. 

Dans la presente Norme internationale les expressions «management du risque» et «gerer le risque» sont 
toutes deux utilisees. De fagon generale, le «management du risque» se refere a la structure (principe, cadre 
organisationnel et processus) permettant de gerer le risque avec efficacite, alors que «gerer le risque» se 
refere a I'application de cette structure aux risques particuliers. 
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Figure 1 — Relations entre les principes, le cadre organisationnel 
et le processus de management du risque 
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Management du risque — Principes et lignes directrices 


I Domaine d'application 

La presente Norme internationale fournit des principes et des lignes directrices generales sur le management 
du risque. 

La presente Norme internationale peut etre appliquee par tout public, toute entreprise publique ou privee, 
toute collectivite, toute association, tout groupe ou individu. Par consequent, la presente Norme internationale 
n'est pas specifique a une industrie ou un secteur donne. 

NOTE Pour plus de facilite, les differents utilisateurs de la presente Norme internationale sont designes par le terme 
general d'«organisme». 

La presente Norme internationale peut etre appliquee tout au long de la vie d'un organisme et a une large 
gamme d'activites, dont les strategies et les prises de decisions, les activites operationnelles, les processus, 
les fonctions, les projets, les produits, les services et les actifs. 

La presente Norme internationale peut s'appliquer a tout type de risque, quelle que soit sa nature, que ses 
consequences soient positives ou negatives. 

Bien que la presente Norme internationale fournisse des lignes directrices generales, elle ne vise pas a 
promouvoir I'uniformisation du management du risque au sein des organismes. La conception et la mise en 
oeuvre des plans et des structures organisationnelles de management du risque devront tenir compte des 
divers besoins d'un organisme specifique, de ses objectifs, son contexte, sa structure, son activite, ses 
processus, ses fonctions, ses projets, ses produits, ses services ou ses actifs particuliers, ainsi que de ses 
pratiques specifiques. 

II est prevu que la presente Norme internationale serve a harmoniser les processus de management du risque 
dans les normes existantes et a venir. Elle offre une approche commune a I'etablissement des normes traitant 
de risques et/ou secteurs specifiques, sans toutefois remplacer ces normes. 

La presente Norme internationale n'a pas vocation a servir de base a une certification. 


2 Termes et definitions 

Pour les besoins du present document, les termes et definitions suivants s'appliquent. 

2.1 

risque 

effet de I'incertitude sur I'atteinte des objectifs 

NOTE 1 Un effet est un ecart, positif et/ou negatif, par rapport a une attente. 

NOTE 2 Les objectifs peuvent avoir differents aspects (par exemple buts financiers, de sante et de securite, ou 
environnementaux) et peuvent concerner differents niveaux (niveau strategique, niveau d'un projet, d'un produit, d'un 
processus ou d'un organisme tout entier). 

NOTE 3 Un risque est souvent caracterise en reference a des evenements (2.19) et des consequences (2.20) 
potentiels ou a une combinaison des deux. 


© ISO 2009 - Tous droits reserves 


1 




ISO/FDIS 31000:2009(F) 


NOTE 4 Un risque est souvent exprime en termes de combinaison des consequences d'un evenement (incluant des 
changements de circonstances) et de sa vraisemblance (2.21). 

NOTE 5 L'incertitude est I'etat, meme partiel, de defaut d'information concernant la comprehension ou la connaissance 
d'un evenement, de ses consequences ou de sa vraisemblance. 

[ISO Guide 73:2009, definition 1.1] 

2.2 

management du risque 

activites coordonnees dans le but de diriger et piloter un organisme vis-a-vis du risque (2.1) 

[ISO Guide 73:2009, definition 2.1] 

2.3 

cadre organisationnel de management du risque 

ensemble d'elements etablissant les fondements et dispositions organisationnelles presidant a la conception, 
la mise en oeuvre, la surveillance (2.30), la revue et I'amelioration continue du management du risque (2.2) 
dans tout I'organisme 

NOTE 1 Les fondements incluent la politique, les objectifs, le mandat et I'engagement envers le management du 
risque (2.1). 

NOTE 2 Les dispositions organisationnelles incluent les plans, les relations, les responsabilites, les ressources, les 
processus et les activites. 

NOTE 3 Le cadre organisationnel du management du risque fait partie integrante des politiques strategiques et 
operationnelles ainsi que des pratiques de I'ensemble de I'organisme. 

[ISO Guide 73:2009, definition 2.1.1] 

2.4 

politique de management du risque 

declaration des intentions et des orientations generates d'un organisme en relation avec le management du 
risque (2.2) 

[ISO Guide 73:2009, definition 2.1.2] 

2.5 

attitude face au risque 

approche d'un organisme pour apprecier un risque (2.1) avant, eventuellement, de saisir ou preserver une 
opportunity ou de prendre ou rejeter un risque 

[ISO Guide 73:2009, definition 3.7.1.1] 

2.6 

gout du risque 

importance et type d'opportunite qu'un organisme est pret a saisir ou a preserver ou de risque (2.1) qu'il est 
pret a prendre 

[ISO Guide 73:2009, definition 3.7.1.2] 

2.7 

aversion pour le risque 

attitude de rejet du risque (2.1) 

[ISO Guide 73:2009, definition 3.7.1.4] 
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2.8 

plan de management du risque 

programme inclus dans le cadre organisationnel de management du risque (2.3), specifiant I'approche, les 
composantes du management et les ressources auxquelles doit avoir recours le management du risque (2.1) 

NOTE 1 Les composantes du management incluent, par exemple, les procedures, les pratiques, I'attribution des 
responsabilites, le deroulement chronologique des activites. 

NOTE 2 Le plan de management du risque peut etre applique a un produit, un processus, un projet particulier, a une 
partie de I'organisme ou a I'organisme tout entier. 

[ISO Guide 73:2009, definition 2.1.3] 

2.9 

proprietaire du risque 

personne ou entite ayant la responsabilite du risque (2.1) et ayant autorite pour le gerer 
[ISO Guide 73:2009, definition 3.5.1.4] 

2.10 

processus de management du risque 

application systematique de politiques, procedures et pratiques de management aux activites de 
communication, de concertation, d'etablissement du contexte, ainsi qu'aux activites d'identification, d'analyse, 
devaluation, de traitement, de surveillance (2.30) et de revue des risques (2.1) 

[ISO Guide 73:2009, definition 3.1] 

2.11 

etablissement du contexte 

definition des parametres externes et internes a prendre en compte lors du management du risque et 
definition du domaine d'application ainsi que des criteres de risque (2.24) pour la politique de management 
du risque (2.4) 

[ISO Guide 73:2009, definition 3.3.1] 

2.12 

contexte externe 

environnement externe dans lequel I'organisme cherche a atteindre ses objectifs 
NOTE Le contexte externe peut inclure 

— I'environnement culturel, social, politique, legal, reglementaire, financier, technologique, economique, naturel et 
concurrentiel, au niveau international, national, regional ou local, 

— les facteurs et tendances ayant un impact determinant sur les objectifs de I'organisme, et 

— les relations avec les parties prenantes (2.15) externes, leurs perceptions et leurs valeurs. 

[ISO Guide 73:2009, definition 3.3.1.1] 

2.13 

contexte interne 

environnement interne dans lequel I'organisme cherche a atteindre ses objectifs 
NOTE Le contexte interne peut inclure 

— la gouvernance, I'organisation, les roles et responsabilites, 

— les politiques, les objectifs et les strategies mises en place pour atteindre ces derniers, 
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— les capacites, en termes de ressources et de connaissances (par exemple capital, temps, personnels, processus, 
systemes et technologies), 

— les perceptions et les valeurs des parties prenantes internes, 

— les systemes d'information, les flux d'information et les processus de prise de decision (a la fois formels et informels), 

— les relations avec les parties prenantes internes, ainsi que leurs perceptions et leurs valeurs, 

— la culture de I'organisme, 

— les normes, lignes directrices et modeles adoptes par I'organisme, et 

— la forme et I'etendue des relations contractuelles. 

[ISO Guide 73:2009, definition 3.3.1.2] 

2.14 

communication et concertation 

processus iteratifs et continus mis en oeuvre par un organisme afin de fournir, partager ou obtenir des 
informations et d'engager un dialogue avec les parties prenantes (2.15) et autres parties, concernant le 
management du risque (2.1) 

NOTE 1 Ces informations peuvent concerner I'existence, la nature, la forme, la vraisemblance (2.21), la gravite, 
revaluation, I'acceptabilite, le traitement ou d'autres aspects du management du risque. 

NOTE 2 La concertation est un processus de communication argumentee a double sens entre un organisme et ses 
parties prenantes ou d'autres parties sur une question donnee avant de prendre une decision ou de determiner une 
orientation concernant ladite question. La concertation est 

— un processus dont I'effet sur une decision s'exerce par I'influence plutot que par le pouvoir, et 

— une contribution a une prise de decision, et non une prise de decision conjointe. 

[ISO Guide 73:2009, definition 3.2.1] 

2.15 

partie prenante 

personne ou organisme susceptible d'affecter, d'etre affecte ou de se sentir lui-meme affecte par une decision 
ou une activite 

NOTE Un decideur peut etre une partie prenante. 

[ISO Guide 73:2009, definition 3.2.1.1] 

2.16 

appreciation du risque 

ensemble du processus d'identification des risques (2.17), d'analyse du risque (2.23) et devaluation du 
risque (2.26) 

[ISO Guide 73:2009, definition 3.4.1] 

2.17 

identification des risques 

processus de recherche, de reconnaissance et de description des risques (2.1) 

NOTE 1 L'identification des risques comprend I'identification des sources de risque (2.18), des evenements (2.19), 
de leurs causes et de leurs consequences (2.20) potentielles. 
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NOTE 2 L'identification des risques peut faire appel a des donnees historiques, des analyses theoriques, des avis 
d'experts et autres personnes competentes et tenir compte des besoins des parties prenantes (2.15). 

[ISO Guide 73:2009, definition 3.5.1] 

2.18 

source de risque 

tout element qui, seul ou combine a d'autres, presente un potentiel intrinseque d'engendrer un risque (2.1) 
NOTE Une source de risque peut etre tangible ou intangible. 

[ISO Guide 73:2009, definition 3.5.1.1] 

2.19 

evenement 

occurrence ou changement d'un ensemble particulier de circonstances 

NOTE 1 Un evenement peut etre unique ou se reproduire et peut avoir plusieurs causes. 

NOTE 2 Un evenement peut consister en quelque chose qui ne se produit pas. 

NOTE 3 Un evenement peut parfois etre qualifie «d'incident» ou «d'accident». 

NOTE 4 Un evenement sans consequences peut egalement etre appele «quasi-accident» ou «incident» ou «presque 
succes». 

[ISO Guide 73:2009, definition 3.5.1.2] 

2.20 

consequence 

effet d'un evenement (2.19) affectant les objectifs 

NOTE 1 Un evenement peut engendrer une serie de consequences. 

NOTE 2 Une consequence peut etre certaine ou incertaine et peut avoir des effets positifs ou negatifs sur I'atteinte des 
objectifs. 

NOTE 3 Les consequences peuvent etre exprimees de fagon qualitative ou quantitative. 

NOTE 4 Des consequences initiales peuvent declencher des reactions en chaTne. 

[ISO Guide 73:2009, definition 3.6.1.3] 

2.21 

vraisemblance 

possibility que quelque chose se produise 

NOTE 1 Dans la terminologie du management du risque, le mot «vraisemblance» est utilise pour indiquer la possibility 
que quelque chose se produise, que cette possibility soit definie, mesuree ou determines de fagon objective ou subjective, 
qualitative ou quantitative, et qu'elle soit decrite au moyen de termes generaux ou mathematiques (telles une probability 
ou une frequence sur une periode donnee). 

NOTE 2 Le terme anglais «likelihood» (vraisemblance) n'a pas d'equivalent direct dans certaines langues et c'est 
souvent I'equivalent du terme «probability» (probability) qui est utilise a la place. En anglais, cependant, le terme 
«probability» (probability) est souvent limite a son interpretation mathematique. Par consequent, dans la terminologie du 
management du risque, le terme «vraisemblance» est utilise avec I'intention qu'il fasse I'objet d'une interpretation aussi 
large que celle dont beneficie le terme «probability» (probability) dans de nombreuses langues autres que I'anglais. 

[ISO Guide 73:2009, definition 3.6.1.1] 
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2.22 

profil de risque 

description d'un ensemble quelconque de risques (2.1) 

NOTE Cet ensemble de risques peut inclure les risques relatifs a I'ensemble de I'organisme, a une partie de celui-ci, 
ou etre defini autrement. 

[ISO Guide 73:2009, definition 3.8.2.5] 

2.23 

analyse du risque 

processus mis en oeuvre pour comprendre la nature d'un risque (2.1) et pour determiner le niveau de risque 
(2.25) 

NOTE 1 L'analyse du risque fournit la base de revaluation du risque (2.26) et les decisions relatives au traitement 
du risque (2.27). 

NOTE 2 L'analyse du risque inclut I'estimation du risque. 

[ISO Guide 73:2009, definition 3.6.1] 

2.24 

criteres de risque 

termes de reference vis-a-vis desquels I'importance d'un risque (2.1) est evaluee 

NOTE 1 Les criteres de risque sont bases sur les obiectifs de I'organisme ainsi que sur le contexte externe (2.12) et 
interne (2.13). 

NOTE 2 Les criteres de risque peuvent etre issus de normes, de lois, de politiques et d'autres exigences. 

[ISO Guide 73:2009, definition 3.3.1.3] 

2.25 

niveau de risque 

importance d'un risque (2.1), exprimee en termes de combinaison des consequences (2.20) et de leur 

vraisemblance (2.21) 

[ISO Guide 73:2009, definition 3.6.1.8] 

2.26 

evaluation du risque 

processus de comparaison des resultats de l'analyse du risque (2.23) avec les criteres de risque (2.24) afin 
de determiner si le risque (2.1) et/ou son importance sont acceptables ou tolerables 

NOTE devaluation du risque aide a la prise de decision relative au traitement du risque (2.27). 

[ISO Guide 73:2009, definition 3.7.1] 

2.27 

traitement du risque 

processus destine a modifier un risque (2.1) 

NOTE 1 Le traitement du risque peut inclure 

— un refus du risque en decidant de ne pas demarrer ou poursuivre I'activite porteuse du risque, 

— la prise ou I'augmentation d'un risque afin de saisir une opportunity, 

— I'elimination de la source de risque (2.18), 
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— une modification de la vraisemblance (2.21), 

— une modification des consequences (2.20), 

— un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du risque), et 

— un maintien du risque fonde sur un choix arguments. 

NOTE 2 Les traitements du risque portant sur les consequences negatives sont parfois appeles «attenuation du 
risque», «elimination du risque», «prevention du risque» et reduction du risque». 

NOTE 3 Le traitement du risque peut creer de nouveaux risques ou modifier des risques existants. 

[ISO Guide 73:2009, definition 3.8.1] 

2.28 

moyen de maitrise 

mesure qui modifie un risque (2.1) 

NOTE 1 Un moyen de maitrise du risque inclut n'importe quels processus, politique, dispositif, pratique ou autres 
actions qui modifient un risque. 

NOTE 2 Un moyen de maitrise du risque n'aboutit pas toujours necessairement a la modification voulue ou supposee. 
[ISO Guide 73:2009, definition 3.8.1.1] 

2.29 

risque residuel 

risque (2.1) subsistant apres le traitement du risque (2.27) 

NOTE 1 Un risque residuel peut inclure un risque non identifie. 

NOTE 2 Un risque residuel peut egalement etre appele «risque pris». 

[ISO Guide 73:2009, definition 3.8.1.6] 

2.30 

surveillance 

verification, supervision, observation critique ou determination de I'etat afin d'identifier continument des 
changements par rapport au niveau de performance exige ou attendu 

NOTE La surveillance peut s'appliquer a un cadre organisationnel de management du risque (2.3), un processus 
de management du risque (2.10), un risque (2.1) ou un moyen de maitrise (2.28) du risque. 

[ISO Guide 73:2009, definition 3.8.2.1] 

2.31 
revue 

activite entreprise afin de determiner I'adaptation, I'adequation et I'efficacite de I'objet etudie pour atteindre les 
objectifs etablis 

NOTE La revue peut s'appliquer a un cadre organisationnel de management du risque (2.3), un processus de 
management du risque (2.10), un risque (2.1) ou un moyen de maitrise (2.28) du risque. 

[ISO Guide 73:2009, definition 3.8.2.2] 
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3 Principes 

Pour avoir un management des risques efficace, il convient qu'un organisme respecte, a tous les niveaux, les 
principes enonces ci-dessous. 

a) Le management du risque cree de la valeur et la preserve. 

Le management du risque contribue de fagon tangible a I'atteinte des objectifs et a I'amelioration des 
performances, par exemple dans le domaine de la sante et de la securite des personnes et des biens, de 
la conformite aux exigences legales et reglementaires, de I'acceptation par le public, de la protection de 
I'environnement, de la qualite des produits, du management de projets, de I'efficacite operationnelle et de 
la gouvernance de I'organisme, ainsi que de sa reputation. 

b) Le management du risque est integre aux processus organisationnels. 

Le management du risque n'est pas une activite independante separee des principales activites et 
principaux processus de i'organisme. Le management du risque releve de la responsabilite de la direction 
et fait partie integrante des processus organisationnels, dont la planification strategique et tous les 
processus de management des projets et du changement. 

c) Le management du risque est integre au processus de prise de decision. 

Le management du risque aide les decideurs a faire des choix argumentes, a definir des priorites 
d'actions et a choisirentre differents plans d'action. 

d) Le management du risque traite explicitement de I'incertitude. 

Le management du risque tient compte, de maniere explicite, des incertitudes, de la nature de ces 
incertitudes, et de la fagon dont elles peuvent etre traitees. 

e) Le management du risque est systematique, structure et utilise en temps utile. 

Une approche systematique, en temps utile et structuree du management du risque contribue a 
I'efficacite de la demarche et a la coherence de resultats comparables et fiables. 

f) Le management du risque s'appuie sur la meilleure information disponible. 

Les donnees d'entree du processus de management du risque reposent sur des sources d'information, 
comme des donnees historiques, I'experience, les retours d'information des parties prenantes, les 
observations, les previsions et les avis d'experts. Toutefois, il convient que les decideurs s'informent et 
tiennent compte des eventuelles limites des donnees ou modeles utilises, ainsi que des eventuelles 
divergences entre experts. 

g) Le management du risque est adapte. 

Le management du risque s'aligne sur le contexte externe et interne de I'organisme et son profil de risque. 

h) Le management du risque integre les facteurs humains et culturels. 

Le management du risque permet d'identifier les aptitudes, les perceptions et les intentions des 
personnes externes et internes susceptibles de faciliter ou de gener I'atteinte des objectifs de I'organisme. 

i) Le management du risque est transparent et participatif. 

L'implication appropriee et en temps voulu des parties prenantes, et notamment des decideurs a tous les 
niveaux de I'organisme, garantit que le management du risque reste pertinent et actuel. Elle permet 
egalement aux parties prenantes d'etre correctement representees et de voir leur opinion prise en 
compte dans la determination des criteres de risque. 
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j) Le management du risque est dynamique, iteratif et reactif au changement. 

Des evenements internes et externes peuvent survenir, le contexte ou les connaissances peuvent 
changer, la surveillance et la revue se mettre en place, alors de nouveaux risques peuvent surgir, 
certains etre modifies, tandis que d'autres disparaissent. Par consequent, le management du risque 
pergoit continuellement les changements et y repond. 

k) Le management du risque facilite ('amelioration continue de I'organisme. 

II convient que les organismes elaborent et mettent en oeuvre des strategies visant a ameliorer leur 
maturite en matiere de management du risque, comme pour tous les autres aspects de leur organisation. 

L'Annexe A apporte des conseils supplementaires pour les organismes souhaitant gerer plus efficacement le 
risque. 


4 Cadre organisationnel 
4.1 Generalites 

Le succes du management du risque va dependre de I'efficacite du cadre organisationnel de management qui 
fournit les bases et les dispositions permettant son integration a tous les niveaux de I'organisme. Ce cadre 
organisationnel facilite un management efficace des risques dans tout le processus de management du risque 
(voir Article 5) a differents niveaux et dans des contextes specifiques a I'organisme. Ce cadre garantit que les 
informations sur les risques emanant de ces processus sont correctement rapportees et servent de base aux 
prises de decisions et a la responsabilisation de tous les niveaux concernes au sein de I'organisme. 

Cet article decrit les composantes necessaires au cadre organisationnel de management du risque et la fagon 
dont elles interagissent de fagon iterative, comme le montre la Figure 2. 


Mandat et engagement (4.2) 

3E 



Conception du cadre organisationnel de management du risque (4.3) 

Comprehension de I’organisme et de son contexte (4.3.1) 

Etablissement de la politique de management du risque (4.3.2) 
Responsabilite (4.3.3) 

Integration aux processus organisationnels (4.3.4) 

Ressources (4.3.5) 

Etablissement de mecanismes de communication et de rapports internes 

(4.3.6) 

Etablissement de mecanismes de communication et de rapports externes 

(4.3.7) 




Figure 2 — Relations entre les composantes du cadre organisationnel de management du risque 
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Ce cadre n'est pas destine a prescrire un systeme de management, mais plutot a aider I'organisme a integrer 
le management du risque dans son systeme de management global. II convient done que les organismes 
adaptent les composantes de ce cadre organisationnel a leurs besoins particuliers. 

Si les pratiques et processus de management existant au sein d'un organisme comportent des composantes 
du management du risque ou si I'organisme a deja adopte un processus de management du risque formalise 
pour des types de situations ou de risques particuliers, il convient alors que ceux-ci soient revus de fagon 
approfondie et apprecies a la lumiere de la presente Norme internationale, en y incluant les attributs figurant 
dans I'Annexe A, afin de determiner leur adequation et leur efficacite. 

4.2 Mandat et engagement 

L'introduction du management du risque et I'assurance de son efficacite permanente exigent un engagement 
fort et durable de la direction de I'organisme, ainsi que I'etablissement d'un plan strategique rigoureux pour 
conduire a un engagement a tous les niveaux. II convient que la direction 

— definisse et approuve la politique de management du risque, 

— s'assure que la culture de I'organisme et sa politique de management du risque sont en phase, 

— determine des indicateurs de performance du management du risque coherents avec les indicateurs de 
performance de I'organisme, 

— aligne les objectifs du management du risque sur les objectifs et strategies de I'organisme, 

— s'assure de la conformite legale et reglementaire, 

— affecte les responsabilites aux niveaux appropries de I'organisme, 

— s'assure que les ressources necessaires sont allouees au management du risque, 

— communique les avantages du management du risque a I'ensemble des parties prenantes, et 

— s'assure que le cadre organisationnel de management du risque reste approprie. 

4.3 Conception du cadre organisationnel de management du risque 
4.3.1 Comprehension de I'organisme et de son contexte 

Prealablement a la conception et a la mise en oeuvre du cadre organisationnel de management du risque, il 
est important d'evaluer et de comprendre le contexte tant interne qu'externe de I'organisme, etant donne que 
celui-ci peut influencer la conception du cadre organisationnel de fagon significative. 

L'evaluation du contexte externe d'un organisme peut comprendre, entre autres 

a) I'environnement social et culturel, legal, reglementaire, financier, technologique, economique, naturel et 
concurrentiel, au niveau international, national, regional ou local, 

b) les facteurs et tendances ayant un impact determinant sur les objectifs de I'organisme, et 

c) les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs. 

L'evaluation du contexte interne d'un organisme peut comprendre, entre autres 

— la gouvernance, I'organisation, les roles et les responsabilites, 

— les politiques, les objectifs et les strategies mises en place pour atteindre ces derniers, 
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— les aptitudes, en termes de ressources et de connaissances (par exemple capital, temps, personnels, 
processus, systemes et technologies), 

— les systemes d'information, les flux d'information et les processus de prise de decision (a la fois formels 
et informels), 

— les relations avec les parties prenantes internes, leurs perceptions et leurs valeurs, ainsi que la culture de 
I'organisme, 

— les normes, lignes directrices et modeles adoptes par I'organisme, et 

— la forme et I'etendue des relations contractuelles. 

4.3.2 Etablissement de la politique de management du risque 

II convient que la politique de management du risque precise les objectifs et I'engagement de I'organisme en 
matiere de management du risque et typiquement aborde les points suivants: 

— les motivations de I'organisme en matiere de management du risque; 

— les liens entre les objectifs et autres politiques de I'organisme et sa politique de management du risque; 

— les responsabilites en matiere de management du risque; 

— la maniere dont les conflits d'interets sont traites; 

— I'engagement de mettre les ressources necessaires a la disposition des personnes responsables du 
management du risque; 

— la maniere dont les performances du management du risque vont etre mesurees et rapportees; 

— I'engagement a revoir et a ameliorer la politique et le cadre organisationnel de management du risque 
periodiquement et a la suite d'un evenement ou d'un changement de circonstances. 

II convient de communiquer de maniere appropriee sur la politique de management du risque. 

4.3.3 Responsabilite 

II convient que I'organisme s'assure que sont etablies les responsabilites, I'autorite et les competences 
appropriees en matiere de management du risque, y compris concernant la mise en oeuvre et la mise a jour 
du processus de management du risque, et qu'il s'assure de I'adequation, de I'efficacite et de la performance 
de tous moyens de maitrise du risque. Cela peut etre facilite par 

— I'identification des proprietaires du risque qui ont la responsabilite du risque et I'autorite pour le gerer, 

— I'identification des responsables de I'elaboration, de la mise en oeuvre et de la tenue a jour du cadre 
organisationnel de management du risque, 

— I'identification des autres responsabilites a tous les niveaux de I'organisme en matiere de processus de 
management du risque, 

— la definition de mesures de performance et de processus internes et/ou externes de rapports et de 
transmission a un niveau superieur, et 

— I'etablissement de niveaux de reconnaissance appropries. 
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4.3.4 Integration aux processus organisationnels 

II convient que le management du risque soit integre a toutes les pratiques et tous les processus de 
I'organisme de fagon a etre pertinent, efficace et performant. II convient que le processus de management du 
risque fasse partie integrante et ne soit pas separe de ces processus organisationnels. II convient notamment 
que le management du risque soit pris en compte dans I'elaboration de la politique, les plans d'activite et 
strategiques et leur revue, et dans les processus de management du changement. 

II convient d'elaborer un plan de management du risque a I'echelle de I'organisme afin de s'assurer que la 
politique de management du risque est mise en oeuvre et que le management du risque est integre a 
I'ensemble des pratiques et des processus de I'organisme. Le plan de management du risque peut etre 
integre a d'autres plans organisationnels, comme un plan strategique. 

4.3.5 Ressources 

II convient que I'organisme alloue les ressources necessaires au management du risque. 

II convient que soient pris en compte 

— les personnels, les aptitudes, I'experience et les competences, 

— les ressources necessaires a chaque etape du processus de management du risque, 

— les processus de I'organisme concernant le risque, les methodes et outils de I'organisme servant au 
management du risque, 

— les processus et procedures documentes, 

— les systemes de gestion des informations et des connaissances, et 

— les programmes de formation. 

4.3.6 Etablissement de mecanismes de communication et de rapports internes 

II convient que I'organisme mette en place des mecanismes de communication et de rapports internes pour 
soutenir et encourager les responsabilites et I'appropriation du risque. II convient que ces mecanismes 
garantissent 

— la communication appropriee des principales composantes du cadre organisationnel de management du 
risque, et de toutes modifications ulterieures, 

— I'existence de rapports internes appropries sur le cadre organisationnel de management du risque, son 
efficacite et ses effets, 

— la disponibilite des informations pertinentes issues de I'application du management du risque aux niveaux 
et aux moments appropries, et 

— I'existence de processus de concertation avec des parties prenantes internes. 

II convient que ces mecanismes comportent des processus permettant de rassembler les informations 
relatives au risque provenant, le cas echeant, de differentes sources, et tiennent compte de leur sensibilite. 

4.3.7 Etablissement de mecanismes de communication et de rapports externes 

II convient que I'organisme elabore et mette en oeuvre un plan sur la fagon de communiquer avec les parties 
prenantes externes. II convient que cela implique 

— la participation des parties prenantes externes appropriees et I'assurance d'un echange efficace 
d'informations, 
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— I'etablissement de rapports externes conformes aux obligations legales, reglementaires et aux exigences 
de la gouvernance de I'organisme, 

— la mise en place d'un retour d'information et de rapports sur la communication et la concertation, 

— I'utilisation de la communication pour renforcer la confiance dans I'organisme, et 

— la communication avec les parties prenantes en cas de crise ou d'imprevu. 

II convient que ces mecanismes comportent des processus permettant de rassembler les informations 
relatives au risque provenant, le cas echeant, de differentes sources, et tiennent compte de leur caractere 
sensible. 

4.4 Mise en ceuvre du management du risque 

4.4.1 Mise en oeuvre du cadre organisationnel de management du risque 

Pour la mise en oeuvre du cadre organisationnel de management du risque, il convient que I'organisme 

— definisse un calendrier et une strategie appropries pour la mise en oeuvre du cadre organisationnel de 
management du risque, 

— applique la politique et le processus de management du risque aux processus organisationnels, 

— se conforme aux obligations legales et reglementaires, 

— s'assure que les prises de decision, y compris I'elaboration et la determination des objectifs, sont 
coherentes avec les conclusions des processus de management du risque, 

— organise des seances d'information et de formation, et 

— communique et se concede avec les parties prenantes afin de s'assurer que son cadre organisationnel 
de management du risque reste approprie. 

4.4.2 Mise en oeuvre du processus de management du risque 

II convient que le management du risque soit mis en oeuvre en s'assurant que le processus de management 
du risque decrit dans I'Article 5 est applique dans le cadre d'un plan de management du risque, a toutes les 
fonctions et a tous les niveaux pertinents de I'organisme dans le cadre de ses pratiques et processus. 

4.5 Surveillance et revue du cadre organisationnel 

Afin de s'assurer que le management du risque est efficace et contribue a I'atteinte des performances 
organisationnelles, il convient que I'organisme 

— mesure les performances de management du risque par rapport a des indicateurs dont la pertinence est 
revue periodiquement, 

— mesure periodiquement les progres et les ecarts par rapport au plan de management du risque, 

— examine periodiquement si le cadre organisationnel, la politique et le plan de management du risque sont 
toujours appropries au vu du contexte interne et externe de I'organisme, 

— etablisse des rapports sur les risques, sur les avancees du plan de management du risque, et sur la 
fagon dont la politique de management du risque est suivie, et 

— verifie I'efficacite du cadre organisationnel de management du risque. 
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4.6 Amelioration continue du cadre organisationnel 

Sur la base des resultats de cette surveillance et de ces revues, il convient de prendre des decisions sur les 
possibility d'amelioration du cadre organisationnel, de la politique et du plan de management du risque. II 
convient que ces decisions entraTnent des ameliorations du management du risque et de la culture du 
management du risque de I'organisme. 


5 Processus 
5.1 Generalites 

II convient que le management du risque soit 

— partie integrante du management, 

— integre a la culture et aux pratiques, et 

— adapte aux processus metiers de I'organisme. 

Cela comprend les activites decrites de 5.2 a 5.6. Le processus de management du risque est presente a la 
Figure 3. 



Figure 3 — Processus de management du risque 
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5.2 Communication et concertation 

II convient que la communication et la concertation avec les parties prenantes internes et externes aient lieu a 
toutes les etapes du processus de management du risque. 

II convient, par consequent, d'elaborer des plans de communication et de concertation tres tot. II convient que 
ces plans traitent des questions relatives au risque lui-meme, a ses causes, a ses consequences (si elles sont 
connues), et aux mesures prises pour le traiter. II convient que I'efficacite de la communication et de la 
concertation internes et externes permette de s'assurer que les parties prenantes et les personnes 
responsables de la mise en oeuvre du processus de management du risque comprennent les principes de 
prise de decisions et les raisons pour lesquelles certaines actions sont necessaires. 

Line approche consultative en equipe peut 

— aider a definir correctement le contexte, 

— s'assurer que les interets des parties prenantes sont compris et pris en consideration, 

— s'assurer que les risques sont correctement identifies, 

— reunir differents domaines d'expertise pour I'analyse des risques, 

— s'assurer que les differents points de vue sont pris en compte de maniere appropriee dans la definition 
des criteres de risques et dans revaluation des risques, 

— conforter I'adhesion et le soutien a un plan de traitement, 

— favoriser un management judicieux du changement au cours du processus de management du risque, et 

— elaborer un plan de communication et de concertation interne et externe approprie. 

La communication et la concertation avec les parties prenantes sont importantes car leur jugement sur le 
risque se fonde sur leur propre perception du risque. Ces perceptions du risque peuvent varier selon les 
differentes valeurs, les besoins, les hypotheses, les concepts et les preoccupations des parties prenantes. 
Leur opinion pouvant avoir un impact significatif sur les decisions prises, il convient que la perception des 
parties prenantes soit identifiee, enregistree et prise en compte dans le processus de prise de decision. 

II convient que la communication et la concertation facilitent des echanges d'informations francs, pertinents, 
precis et comprehensibles, tenant compte de leur confidentiality et de I'integrite personnels. 

5.3 Etablissement du contexte 

5.3.1 Generalites 

En etablissant le contexte, I'organisme enonce clairement ses objectifs, definit les parametres internes et 
externes a prendre en compte dans le management du risque, et determine le domaine d'application et les 
criteres de risque pour la suite du processus. Bien que la plupart de ces parametres soient semblables a ceux 
pris en compte dans la conception du cadre organisationnel de management du risque (voir 4.3.1) pour 
I'etablissement du contexte du processus de management du risque, ils doivent etre examines en detail, 
notamment en ce qui concerne la fagon dont ils se rattachent au domaine d'application du processus 
specifique de management du risque. 

5.3.2 Etablissement du contexte externe 

Le contexte externe est I'environnement externe dans lequel I'organisme cherche a atteindre ses objectifs. 

II est important de comprendre le contexte externe afin de s'assurer que les objectifs et les preoccupations 
des parties prenantes externes sont pris en compte lors de I'elaboration des criteres de risque. Le contexte 


© ISO 2009 - Tous droits reserves 


15 



ISO/FDIS 31000:2009(F) 


externe est base sur le contexte a I'echelle de I'organisme, avec toutefois des details specifiques decoulant 
des obligations legales et reglementaires, des perceptions des parties prenantes et d'autres aspects des 
risques propres au domaine d'application du processus de management du risque. 

Le contexte externe peut inclure, sans que la liste soit exhaustive, 

— I'environnement social et culturel, politique, legal, reglementaire, financier, technologique, economique, 
naturel et concurrentiel, au niveau international, national, regional ou local, 

— les facteurs et tendances ayant un impact determinant sur les objectifs de I'organisme, et 

— les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs. 

5.3.3 Etablissement du contexte interne 

Le contexte interne est I'environnement interne dans lequel I'organisme cherche a atteindre ses objectifs. 

II convient que le processus de management du risque soit coherent avec la culture, les processus, la 
structure et la strategie de I'organisme. Le contexte interne comprend tout ce qui, au sein d'un organisme, 
peut influencer la maniere dont I'organisme gere le risque. II convient de I'etablir car 

a) le management du risque se fait dans le contexte des objectifs de I'organisme, 

b) il convient d'envisager les objectifs et les criteres d'un projet, d'un processus ou d'une activite specifique 
a la lumiere des objectifs de I'organisme dans leur ensemble, et 

c) certains organismes ne parviennent pas a identifier les opportunity leur permettant d'atteindre leurs 
objectifs en matiere de strategie, de projet ou d'activite, ce qui compromet la continuity de I'engagement, 
de la credibility, de la confiance et des valeurs de I'organisme. 

II est necessaire de comprendre le contexte interne. Cela peut inclure, sans toutefois s'y limiter 

— la gouvernance, I'organisation, les roles et les responsabilites, 

— les politiques, les objectifs et les strategies mises en place pour les atteindre, 

— les aptitudes, en termes de ressources et de connaissances (par exemple capital, temps, personnels, 
processus, systemes et technologies), 

— les relations avec les parties prenantes internes, leurs perceptions et leurs valeurs, ainsi que la culture de 
I'organisme, 

— les systemes d'information, les flux d'information et les processus de prise de decision (a la fois formels 
et informels), 

— les normes, principes directeurs et modeles adoptes par I'organisme, et 

— la forme et I'etendue des relations contractuelles. 

5.3.4 Etablissement du contexte du processus de management du risque 

II convient de fixer les objectifs, les strategies, les domaines d'application et les parametres des activites de 
I'organisme ou des parties de I'organisme ou le processus de management du risque s'applique. II convient 
d'entreprendre le management du risque en tenant compte de la necessity de justifier les ressources servant 
a sa mise en oeuvre. II convient egalement de specifier les ressources necessaires, les responsabilites et 
autorites ainsi que les enregistrements a conserver. 
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Le contexte du processus de management du risque varie selon les besoins de I'organisme. II peut inclure, sans 
toutefois s'y limiter 

— la definition des buts et des objectifs des activites de management du risque, 

— la definition des responsabilites relatives au processus de management du risque, 

— la definition du domaine d'application ainsi que le degre et I'etendue des activites de management du 
risque a entreprendre, y compris ce qui est specifiquement inclus et exclu, 

— la definition de I'activite, du processus, de la fonction, du projet, du produit, du service ou de I'actif en 
termes de temps et de lieu, 

— la definition des relations entre un projet, un processus ou une activite donne et les autres projets, 
processus ou activites de I'organisme, 

— la definition des methodes depreciation du risque, 

— la definition de la methode selon laquelle les performances et de I'efficacite du management du 
risque sont evaluees, 

— I'identification et la specification des decisions a prendre, et 

— I'identification, le domaine d'application ou le cadre organisationnel des etudes requises, leur etendue et 
leurs objectifs, ainsi que les ressources necessaires a leur realisation. 

II convient que la prise en compte de ces facteurs et des autres facteurs pertinents permette de s'assurer que 
I'approche de management du risque retenue est adaptee aux circonstances, a I'organisme et aux risques 
affectant I'atteinte de ses objectifs. 

5.3.5 Definition des criteres de risque 

II convient que I'organisme definisse des criteres permettant d'evaluer I'importance du risque. II convient que 
ces criteres refletent les valeurs, les objectifs et les ressources de I'organisme. Certains criteres peuvent etre 
imposes ou resulter d'obligations legales et reglementaires, ou d'autres exigences auxquelles I'organisme 
repond. II convient que les criteres de risque soient coherents avec la politique de management du risque de 
I'organisme (voir 4.3.2), soient definis au debut de tout processus de management du risque et soient revus 
continuellement. 

Lors de la definition des criteres de risque, il convient de tenir compte, entre autres, des facteurs suivants: 

— la nature et les types de causes et de consequences qui peuvent survenir, et la fagon dont elles vont etre 
mesurees; 

— la methode de definition de la vraisemblance; 

— I'echelle de la vraisemblance et/ou de la (des) consequence(s); 

— la methode de determination du niveau de risque; 

— les avis des parties prenantes; 

— le niveau a partir duquel le risque devient acceptable ou tolerable; et 

— la prise en compte ou non des combinaisons de plusieurs risques et, le cas echeant, la methode a utiliser 
et les combinaisons a considerer. 
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5.4 Appreciation du risque 

5.4.1 Generates 

L'appreciation du risque est le processus global d'identification, d'analyse et devaluation du risque. 

NOTE La CEI 31010 donne des lignes directrices sur les techniques depreciation du risque. 

5.4.2 Identification du risque 

II convient que I'organisme identifie les sources de risque, les domaines d'impact, les evenements (y compris 
les changements de circonstances), ainsi que leurs causes et consequences potentielles. Cette etape a pour 
objectif de dresser une liste exhaustive des risques basee sur les evenements susceptibles de provoquer, de 
stimuler, d'empecher, de gener, d'accelerer ou de retarder I'atteinte des objectifs. II est important d'identifier 
les risques associes au fait de ne pas saisir une opportunity. II est essentiel de proceder a une identification 
exhaustive, car un risque non identifie a ce stade ne sera pas inclus dans une analyse ulterieure. 

II convient que I'identification inclue les risques, que leur source soit ou non sous le controle de I'organisme, 
meme si la source ou la cause du risque peut ne pas etre evidente. II convient que I'identification du risque 
comporte I'examen des reactions en chaine des consequences particulieres, y compris les effets en cascade 
et cumulatifs. II convient egalement d'examiner un large eventail de consequences, meme si la source ou la 
cause du risque peuvent ne pas etre evidentes. Tout en identifiant ce qui peut se produire, il est necessaire 
d'examiner les causes possibles et les scenarios des consequences eventuelles. II convient d'etudier toutes 
les causes et consequences significatives. 

II convient que I'organisme utilise des outils et techniques d'identification des risques adaptes a ses objectifs 
et ses aptitudes, et aux risques auxquels il est expose. II est essentiel que les informations utilisees pour 
I'identification des risques soient pertinentes et a jour. II convient autant que possible qu'elles soient 
accompagnees d'une documentation appropriee. II convient que les personnes ayant les connaissances 
appropriees participent a I'identification des risques. 

5.4.3 Analyse du risque 

L'analyse du risque necessite d'acquerir une comprehension du risque. L'analyse du risque fournit des 
donnees pour evaluer les risques et prendre la decision de les traiter ou non, et permet de choisir les 
strategies et methodes de traitement les plus appropriees. L'analyse du risque peut aussi contribuer a la prise 
de decisions quand il faut effectuer des choix et que les options impliquent differents types et niveaux de 
risque. 

L'analyse du risque implique la prise en compte des causes et sources de risque, de leurs consequences 
positives et negatives, et de la vraisemblance que ces consequences surviennent. II convient d'identifier les 
facteurs affectant les consequences et leur vraisemblance. Le risque est analyse en determinant les 
consequences et leur vraisemblance, ainsi que d'autres attributs du risque. Un evenement peut avoir des 
consequences multiples et affecter des objectifs multiples. II convient de prendre en compte les moyens de 
maTtrise des risques existants, leur efficacite et leur performance. 

II convient que la fagon dont les consequences et leur vraisemblance sont exprimees ainsi que la maniere 
dont elles sont combinees afin de determiner un niveau de risque correspondent au type de risque, aux 
informations disponibles et a I'objectif de l'appreciation du risque. II convient de veiller a la coherence avec les 
criteres de risque. II est egalement important de tenir compte de I'interdependance des differents risques et de 
leurs sources. 

II convient que le degre de confiance dans la determination du niveau du risque et de sa sensibilite a des 
conditions prealables et a des hypotheses soit pris en compte dans l'analyse et communique effectivement 
aux decideurs et, si necessaire, aux autres parties prenantes. II convient que les facteurs, comme une 
divergence d'opinions entre experts, une incertitude, la disponibilite, la qualite, la quantite et la validite de la 
pertinence des informations ou les limites des modelisations soient mentionnees, voire soulignees. 
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L'analyse du risque peut etre menee a differents niveaux de detail en fonction du risque, de la finalite de 
I'analyse et des informations, des donnees et des ressources disponibles. L'analyse peut etre qualitative, 
semi-quantitative, quantitative, ou une combinaison des trois, selon les circonstances. 

Les consequences et leur vraisemblance peuvent etre determinees en modelisant les suites d'un evenement 
ou d'un ensemble d'evenements, ou par extrapolation d'etudes experimentales ou de donnees disponibles. 
Les consequences peuvent etre exprimees en termes d'impacts tangibles et intangibles. Dans certains cas, 
plusieurs valeurs numeriques ou descripteurs sont necessaires pour preciser les consequences et leur 
vraisemblance a differents moments, en differents lieux, dans differents groupes ou situations. 

5.4.4 Evaluation du risque 

Sur la base des resultats de l'analyse du risque, le but de revaluation du risque est d'aider les decideurs a 
determiner les risques necessitant un traitement et la priorite dans la mise en oeuvre des traitements. 

Devaluation du risque consiste a comparer le niveau de risque determine au cours du processus d'analyse 
aux criteres de risque etablis lors de I'etablissement du contexte. Sur la base de cette comparaison, il est 
possible d'etudier la necessity d'un traitement. 

II convient que les decisions tiennent compte du contexte elargi du risque et en particulier considered la 
tolerance au risque des parties autres que I'organisme qui tire avantage du risque. II convient que les 
decisions respectent les obligations legales, reglementaires et autres exigences. 

Dans certains cas, revaluation du risque peut deboucher sur la decision d'entreprendre une analyse plus 
approfondie. Devaluation du risque peut egalement conduire a la decision de ne pas traiter le risque 
autrement qu'en maintenant les moyens de maitrise du risque existants. Cette decision va dependre de 
I'attitude de I'organisme face au risque, ainsi que des criteres de risque qui ont ete etablis. 

5.5 Traitement du risque 

5.5.1 Generaiites 

Le traitement du risque implique le choix et la mise en oeuvre d'une ou de plusieurs options de modification 
des risques. Une fois mis en oeuvre, les traitements engendrent ou modifient les moyens de maitrise du 
risque. 

Le traitement du risque implique un processus iteratif: 

— evaluer un traitement du risque; 

— decider si les niveaux de risque residuels sont tolerables; 

— s'ils ne sont pas tolerables, generer un nouveau traitement du risque; et 

— apprecier I'efficacite de ce traitement. 

Les options de traitement du risque ne s'excluent pas necessairement les unes les autres, ni ne sont 
appropriees a toutes les circonstances. Ces options peuvent inclure 

a) un refus du risque marque par la decision de ne pas commencer ou poursuivre I'activite porteuse du 
risque, 

b) la prise ou I'augmentation d'un risque afin de poursuivre une opportunity, 

c) I'elimination de la source de risque, 

d) une modification de la vraisemblance, 


© ISO 2009 - Tous droits reserves 


19 



ISO/FDIS 31000:2009(F) 


e) une modification des consequences, 

f) un partage du risque avec une autre ou d'autres parties (y compris les contrats et le financement du 
risque), et 

g) un maintien du risque fonde sur un choix arguments. 

5.5.2 Selection des options de traitement du risque 

La selection de I'option de traitement du risque la plus appropriee implique de comparer les couts et les efforts 
de mise en oeuvre par rapport aux avantages obtenus, compte tenu des obligations legales, reglementaires et 
autres exigences, comme la responsabilite sociale et la protection de I'environnement naturel. II convient que 
les decisions tiennent aussi compte des risques dont le traitement n'est pas justifiable au plan economique, 
par exemple certains risques graves (consequences hautement negatives) mais rares (faible vraisemblance). 

Un certain nombre d'options de traitement peuvent etre examinees et appliquees individuellement ou en 
combinaison. Normalement I'organisme peut tirer avantage de I'adoption d'une combinaison d'options de 
traitement. 

Lors du choix des options de traitement du risque, il convient que I'organisme tienne compte des valeurs et 
des perceptions des parties prenantes et examine les moyens les plus appropries de communiquer avec elles. 
Lorsque les options de traitement du risque peuvent avoir un impact n'importe ou au sein de I'organisme ou 
chez les parties prenantes, il convient que celles-ci soient impliquees dans la decision. A efficacite egale, 
certains traitements du risque peuvent etre plus acceptables que d'autres pour certaines parties prenantes. 

II convient que le plan de traitement identifie clairement I'ordre des priorites de mise en oeuvre des traitements 
individuels du risque. 

Le traitement lui-meme peut engendrer des risques. La defaillance ou I'inefficacite des mesures de traitement 
envisagees peuvent constituer un risque significatif. Pour s'assurer que les mesures restent efficaces, la 
surveillance doitfaire partie integrante du plan de traitement du risque. 

Le traitement du risque peut egalement engendrer des risques secondaires qui doivent etre apprecies, traites, 
surveilles et revus. II convient que ces risques secondaires soient integres au meme plan de traitement que le 
risque original et ne soient pas traites en tant que nouveau risque. II convient que le lien entre les deux 
risques soit identifie et fasse I'objet d'un suivi. 

5.5.3 Elaboration et mise en oeuvre des plans de traitement du risque 

Les plans de traitement du risque sont destines a documenter la maniere dont les options de traitement 
choisies sont mises en oeuvre. II convient que les informations fournies dans ces plans de traitement 
com portent 

— les raisons ayant motive le choix des options de traitement, y compris les avantages attendus, 

— les personnes responsables de I'approbation du plan et celles responsables de sa mise en oeuvre, 

— les actions proposees, 

— les besoins en ressources, en tenant compte des imponderables, 

— la mesure des performances et les contraintes, 

— les exigences en matiere de rapports et de surveillance, et 

— le calendrier et le sequencement. 

II convient que les plans de traitement soient integres aux processus de management de I'organisme et soient 
discutes avec les parties prenantes appropriees. 


20 


© ISO 2009 - Tous droits reserves 



ISO/FDIS 31000:2009(F) 


II convient que les decideurs et les autres parties prenantes soient informes de la nature et de I'etendue du 
risque residuel apres le traitement du risque. II convient que le risque residuel soit documents et soumis a 
surveillance et revue et, le cas echeant, fasse I'objet d'un traitement supplementaire. 

5.6 Surveillance et revue 

II convient que la surveillance et la revue soient planifiees dans le processus de management du risque et 
s'accompagnent d'un controle ou d'une surveillance reguliere. Ce controle ou cette surveillance peuvent etre 
periodiques ou ponctuels. 

II convient que les responsabilites de surveillance et de revue soient clairement definies. 

II convient que les processus de surveillance et de revue de I'organisme s'appliquent a tous les aspects du 
processus de management du risque afin de pouvoir 

— s'assurer que les moyens de maTtrise sont efficaces et performants aussi bien dans leur conception que 
dans leur utilisation, 

— obtenir des informations supplementaires pour ameliorer ('appreciation du risque, 

— analyser et tirer les legons des evenements (y compris des incidents), des changements, des tendances, 
des succes et des echecs, 

— detecter les changements dans le contexte interne et externe, y compris les changements concernant les 
criteres de risque et le risque lui-meme qui peuvent necessiter une revision des traitements du risque et 
des priorites, et 

— identifier les risques emergents. 

L'avancement de la mise en oeuvre des plans de traitement des risques constitue une mesure de la 
performance. Les resultats peuvent etre integres au management global des performances de I'organisme, a 
leur mesurage et aux activites d'elaboration de rapports externes et internes. 

II convient que les resultats de la surveillance et de la revue soient enregistres, fassent I'objet de rapports 
internes et externes selon les besoins, et servent de donnees a la revue du cadre organisationnel de 
management du risque (voir 4.5). 

5.7 Enregistrement du processus de management du risque 

II convient que les activites de management du risque puissent etre tracees. Dans le processus de 
management du risque, les enregistrements fournissent la base de I'amelioration des methodes et des outils 
ainsi que du processus dans son ensemble. 

II convient que les decisions relatives a la creation des enregistrements prennent en compte 

— les besoins de I'organisme en matiere d'acquisition continue de connaissances, 

— les avantages de la reutilisation d'informations pour repondre a des objectifs de management, 

— les couts et le travail lies a la creation et a la maintenance des enregistrements, 

— les necessites legales, reglementaires et operationnelles d'effectuer des enregistrements, 

— la methode d'acces, la facilite de consultation et les moyens de stockage, 

— la periode de conservation, et 

— le caractere sensible des informations. 
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Annexe A 

(informative) 

Attributs d'un management du risque eleve 


A.1 Generalites 

II convient que tous les organismes visent le niveau approprie de performance de leur cadre organisationnel 
de management du risque, en fonction du caractere critique des decisions a prendre. La liste des attributs ci- 
dessous represente un niveau de performance eleve dans le domaine du management du risque. Afin d'aider 
les organismes a mesurer leurs propres performances par rapport a ces criteres, des indicateurs tangibles 
sont indiques pour chaque attribut. 


A.2 Points principaux 

A.2.1 L'organisme a une comprehension totale, correcte et actualisee de ses risques. 
A.2.2 Les risques de l'organisme entrent dans les limites des criteres de risque. 


A.3 Attributs 

A.3.1 L'accent est mis sur I'amelioration continue du management du risque par la mise en place d'objectifs 
de performance organisationnelle, le mesurage, la revue et la modification induite des processus, les 
systemes, les ressources, les aptitudes et les competences. 

Des indicateurs tangibles sont, par exemple, I'existence d'objectifs de performance explicites permettant de 
mesurer les performances de l'organisme et celles de ses responsables. Les performances de l'organisme 
peuvent etre publiees et communiquees. II est normalement procede a au moins une revue annuelle des 
performances, puis a une revision des processus, et a la definition de nouveaux objectifs de performance 
pour la periode suivante. 

Cette evaluation des performances du management du risque fait partie integrante du systeme global 
devaluation et de mesurage des performances des services et des personnes existant au sein de l'organisme. 

A.3.2 Un management du risque developpe inclut la responsabilite complete pleinement definie et acceptee 
des risques, des moyens de leur maTtrise et des taches de traitement des risques. Les personnes designees 
en acceptent la pleine responsabilite, ont les competences necessaires et disposent des ressources adaptees 
leur permettant de verifier les moyen de maTtrise du risque, de surveiller les risques, d'ameliorer les moyens 
de maTtrise du risque, et de communiquer efficacement sur les risques et leur management avec les parties 
prenantes internes et externes. 

Des indicateurs tangibles sont, par exemple, le fait que tous les membres d'un organisme ont pleine 
conscience des risques, des moyens de maTtrise du risque et des taches dont ils ont la responsabilite. 
Normalement, cela figure dans les descriptions de poste/de metier, les bases de donnees ou les systemes 
d'information. II convient que la definition des roles et des responsabilites en matiere de management du 
risque fasse partie des procedures d'accueil des nouveaux arrivants a un poste ou une fonction. 

L'organisme s'assure que les personnes responsables sont en mesure de remplir ce role en leur fournissant 
I'autorite, le temps, la formation, les ressources et les competences necessaires pour assumer leurs 
responsabilites. 
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A.3.3 Toutes les prises de decision au sein de I'organisme, quelles que soient leur importance et leur portee, 
impliquent la prise en compte explicite des risques et I'application du management du risque dans une 
mesure appropriee. 

Des indicateurs tangibles sont, par exemple, I'existence d'enregistrements des reunions et des decisions 
montrant I'existence de discussions formelles sur les risques. En outre, il convient de pouvoir demontrer que 
toutes les composantes du management du risque sont representees dans les processus cles de prise de 
decision de I'organisme, par exemple dans les decisions d'allocation du capital, de projets importants, de 
restructuration et de changements organisationnels. C'est pour ces raisons qu'un management du risque 
solidement ancre est considere, au sein de I'organisme, comme la base d'une gouvernance efficace. 

A.3.4 Un management du risque eleve dans le cadre d'une bonne gouvernance implique une 
communication continue avec les parties prenantes internes et externes, comprenant I'elaboration de rapports 
exhaustifs et frequents sur les performances du management du risque. 

La communication avec les parties prenantes en tant que composante entiere et essentielle du management 
du risque est un exemple d'indicateur tangible. La communication est consideree a juste titre comme un 
processus allant dans les deux sens et permettant des prises de decisions argumentees sur le niveau de 
risque et la necessity d'un traitement du risque en fonction de criteres de risque exhaustifs et correctement 
etablis. 

Des rapports internes et externes exhaustifs et frequents tant sur les risques significatifs que sur les 
performances du management du risque contribuent dans une large mesure a une gouvernance efficace au 
sein de I'organisme. 

A.3.5 Le management du risque est considere comme central dans les processus de management de 
I'organisme, de sorte que les risques sont envisages en termes d'effet de I'incertitude sur I'atteinte des 
objectifs. La structure et le processus de gouvernance de I'organisme reposent sur le management du risque. 
Un management du risque efficace est considere comme essentiel par les dirigeants pour I'atteinte des 
objectifs de I'organisme. 

Des indicateurs tangibles sont, par exemple, des discours tenus par les dirigeants ainsi que des documents 
ecrits importants de I'organisme qui utilisent le terme «incertitude» en rapport avec les risques. En general, 
cet attribut ressort egalement des declarations de politique de I'organisme, notamment de celles concernant le 
management du risque. Normalement, cet attribut doit pouvoir se verifier lors des entretiens avec les 
dirigeants et etre prouve par leurs actions et leurs declarations. 
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